情報セキュリティスペシャリスト平成23年特別 午前U 問9

午前U 問9

ウイルスの検出手法であるビヘイビア法を説明したものはどれか。
  • あらかじめ特徴的なコードをパターンとして登録したウイルス定義ファイルを用いてウイルス検査対象と比較し,同じパターンがあれば感染を検出する。
  • ウイルスに感染していないことを保証する情報をあらかじめ検査対象に付加しておき,検査時に不整合があれば感染を検出する。
  • ウイルスの感染が疑わしい検査対象を,安全な場所に保管する原本と比較し,異なっていれば感染を検出する。
  • ウイルスの感染や発病によって生じるデータ書込み動作の異常や通信量の異常増加などの変化を監視して,感染を検出する。
  • [この問題の出題歴]
  • 情報セキュリティ H21秋期 問8
  • 情報セキュリティ H25春期 問13

分類

テクノロジ系 » セキュリティ » 情報セキュリティ対策

正解

解説

ビヘイビア法は、ウイルスの実際の感染・発病動作を監視して検出する手法です。
感染・発病動作として「書込み動作」「複製動作」「破壊動作」等の動作そのものの異常を検知する場合だけでなく、感染・発病動作によって起こる環境の様々な変化を検知することによる場合もこの手法に分類されます。例えば、「例外ポート通信・不完パケット・通信量の異常増加・エラー量の異常増加」「送信時データと受信時データの量的変化・質的変化」等がそれにあたります。

この他にもウィルス検出技術には次のようなものがあります。
コンペア法
ウイルスの感染が疑わしい対象(検査対象)と安全な場所に保管してあるその対象の原本を比較し、異なっていれば感染を検出する手法。
パターンマッチング法
「パターンデータ」「ウイルスパターン」「パターンファイル」「ウイルス定義ファイル」等を用いて、何らかの特徴的なコードをパターンとしてウイルス検査対象と比較することで検出する手法。
チェックサム法/インテグリティチェック法
検査対象に対して別途ウイルスではないことを保証する「チェックサム」「ディジタル署名」等の情報を付加し、保証がないか無効であることで検出する手法。
ヒューリスティック法
ウイルスのとるであろう動作を事前に登録しておき、検査対象コードに含まれる一連の動作と比較して検出する手法。
問題文のそれぞれの記述とウィルス検出技術を合わせると次のようになります。
  • パターンマッチング法の説明です。
  • チェックサム法の説明です。
  • コンペア法の説明です。
  • 正しい。ビヘイビア法の説明です。
※出典 IPA「未知ウィルス検出技術に関する調査」
 http://www.ipa.go.jp/security/fy15/reports/uvd/index.html
© 2014-2019 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop